WO2013026312A1 - 基于日志检测的告警方法及系统 - Google Patents

Abstract

本发明实施例公开了一种基于日志检测的告警及系统。其中，该方法包括：读取日志检测的配置数据，配置数据包括：待检测日志文件、正则表达式以及告警信息；根据配置数据对日志文件进行检测，以生成检测结果；根据检测结果发出告警信息。通过本发明实施例，能够实现统一的多业务告警机制，达到灵活简单、可扩展性强、适用面广的效果。

Description

基于日志检测的告警方法及系统 技术领域

本发明涉及通信领域， 具体而言， 尤其涉及一种基于日志检测的告警 方法及系统。 背景技术

为了保证系统日志检测结果的及时体现， 现有的各种业务和应用系统 的运行状态都需要监控， 对于偏离正常状态的情况要及时发出告警。 常见 技术手段是告警平台制定告警接口， 每个子系统或模块自己检测并产生告 警， 以约定接口传递告警信息给告警平台。 目前也存在通过分析日志来产 生告警的技术方案， 但是这些技术方案往往存在不能同时检测多个文件、 不能适用于所有日志或告警发现机制等不够灵活的问题。

针对现有技术的日志检测告警方式无法同时检测多个文件、 且检测方 式通用性差以及无法灵活拓展的问题， 目前还没有有效的解决方案。 发明内容

本发明实施例的主要目的在于提供一种基于日志检测的告警方法及系 统， 以解决现有技术的日志检测告警方式无法同时检测多个文件、 且检测 方式通用性差以及无法灵活拓展的问题。

为了实现上述目的， 本发明实施例的一方面， 提供了一种基于日志检 测的告警方法。

本发明实施例的基于日志检测的告警方法包括： 读取日志检测的配置 数据， 配置数据包括： 待检测日志文件、 正则表达式以及告警信息； 根据 配置数据对日志文件进行检测， 以生成检测结果； 根据检测结果发出告警 信息。

优先地， 根据配置数据对日志文件进行检测， 以生成检测结果包括： 读取配置数据中的待检测日志文件； 在待检测日志文件不为空的情况下， 对待检测文件进行检测； 在检测到待检测日志文件存在新增日志行的情况 下， 将新增日志行的内容与正则表达式进行匹配处理以获取检测结果。

优先地， 根据检测结果发出告警信息包括： 在检测结果为新增日志行 的内容与正则表达式匹配成功的情况下， 发出告警信息。

优先地， 在读取配置数据中的待检测日志文件之后， 方法还包括： 将待检测日志文件置为首个日志文件进行检测； 判断待检测日志文件 是否为空， 在待检测日志文件为空的情况下， 系统在预定的休眠时间之后， 重新读取并检测待检测日志文件。

优先地， 在根据检测结果发出告警信息之后， 或者在检测到待检测日 志文件不存在新增日志行的情况下， 方法还包括： 将待检测文件设置为下 个曰志文件， 并判断本次待检测日志文件是最后一个日志文件， 在待检测 日志文件为最后一个日志文件的情况下， 将待检测日志文件的标记设置为 空。

为了实现上述目的， 本发明实施例的另一个方面， 提供了一种基于日 志检测的告警系统。

本发明实施例的基于日志检测的告警系统包括： 配置模块， 设置为读 取日志检测的配置数据， 配置数据包括： 待检测日志文件、 正则表达式以 及告警信息； 日志检测模块， 设置为根据配置数据对日志文件进行检测， 以生成检测结果； 告警接口模块， 设置为根据检测结果发出告警信息。

优先地， 日志检测模块包括： 读取模块， 设置为读取配置数据中的待 检测日志文件； 检测模块， 设置为在待检测日志文件不为空的情况下， 对 待检测文件进行检测； 匹配模块， 设置为在检测到待检测日志文件存在新 增日志行的情况下， 将新增日志行的内容与正则表达式进行匹配处理以获 取检测结果。

优先地， 告警接口模块包括： 告警模块， 设置为在检测结果为新增日 志行的内容与正则表达式匹配成功的情况下， 发出告警信息。

优先地， 系统还包括： 设置检测模块， 设置为将待检测日志文件置为 首个日志文件进行检测； 第一处理模块， 设置为判断待检测日志文件是否 为空， 在待检测日志文件为空的情况下， 系统在预定的休眠时间之后， 重 新读取并检测待检测日志文件。

优先地， 系统还包括： 第二处理模块， 设置为将待检测文件设置为下 个日志文件， 并判断本次待检测日志文件是最后一个日志文件， 在待检测 日志文件为最后一个日志文件的情况下， 将待检测日志文件的标记设置为 空。

通过本发明实施例， 采用读取日志检测的配置数据， 配置数据包括： 待检测日志文件、 正则表达式以及告警信息； 根据配置数据对日志文件进 行检测， 以生成检测结果； 根据检测结果发出告警信息， 解决了现有技术 的日志检测告警方式无法同时检测多个文件， 且检测方式通用性差， 无法 灵活拓展的问题， 进而达到了实现统一的多业务告警机制， 达到灵活简单、 可扩展性强、 适用面广的效果。 附图说明

此处所说明的附图用来提供对本发明实施例的进一步理解， 构成本发 明实施例的一部分， 本发明实施例的示意性实施例及其说明用于解释本发 明实施例， 并不构成对本发明实施例的不当限定。 在附图中：

图 1是根据本发明实施例的基于日志检测的告警系统的结构示意图； 图 2是根据本发明实施例的基于日志检测的告警方法的流程图； 以及 图 3是根据本发明实施例的基于日志检测的告警方法的详细流程图。 具体实施方式

为了使本发明实施例所要解决的技术问题、 技术方案及有益效果更加 清楚、 明白， 以下结合附图和实施例， 对本发明实施例进行进一步详细说 明。 应当理解， 此处所描述的具体实施例仅仅用以解释本发明实施例， 并 不用于限定本发明实施例。

本发明实施例提供了一种基于日志检测的告警方法及系统。

图 1是根据本发明实施例的基于日志检测的告警系统的结构示意图。 如图 1所示， 该系统包括： 配置模块、 日志检测模块以及告警接口模块。

其中， 配置模块， 用于读取日志检测的配置数据， 配置数据包括： 待 检测日志文件、 正则表达式以及告警信息； 日志检测模块， 用于根据配置 数据对日志文件进行检测， 生成检测结果； 告警接口模块， 用于根据检测 结果发出告警信息。

上述实施例描述了基于日志检测的告警系统的组成结构， 包括内部模 块的关系、 系统对外的接口。 有上述系统可知， 系统由配置数据和一个程 序组成。 配置的形式可以是配置文件或者配置数据库， 它记录了本系统所 需的配置数据， 包括被检文件、 正则表达式和告警信息。 程序由三个模块 组成： 配置模块主要负责配置数据的读取； 日志检测模块主要对各日志文 件进行监控、 读取， 发现新增行后将之与正则表达式进行匹配； 告警接口 模块负责发送告警信息， 对于日志行匹配成功时， 产生告警， 由该模块发 送到告警处理系统。 该系统实现了统一的多业务告警机制， 达到灵活简单、 可扩展性强、 适用面广的效果。

具体的， 上述实施例中的配置模块可以提供本系统所需的所有配置， 包括要检测的目标日志文件 （可多个）， 正则表达式（用于匹配日志行）， 告警信息（用于匹配成功时产生告警）。

其中， 日志文件配置： 配置提供要检测的日志文件数量， 以及每个日 志文件的文件名。

正则表达式配置： 正则表达式用于匹配日志行， 适用性强， 而且非常 灵活。 发现与正则表达式匹配的日志行就可以产生告警。 如下面的日志行 与正则表达式是匹配的， 就可以产生一条告警。 正则表达式：

" ^A.+\[error\].+healthcheck: upstream\((.+)\) stat up -> down "。 日志行： " 2011/03/08 11 :56:53 [error] 14662#0: healthcheck: upstream(10.46.174.2:8080) stat up -> down"。

告警接口信息配置： 提供发送告警接口所需的信息， 比如包括告警码、 告警原因、 告警描述等信息。

上述实施例中的日志检测模块可以包括： 读取模块， 用于读取配置数 据中的待检测日志文件； 检测模块， 用于在待检测日志文件不为空的情况 下， 对待检测文件进行检测； 匹配模块， 用于在检测到待检测日志文件存 在新增日志行的情况下， 将新增日志行的内容与正则表达式进行匹配处理 以获取检测结果。 该日志检测模块实现了责对日志文件进行检测。

上述实施例中的告警接口模块可以包括： 告警模块， 用于在检测结果 为新增日志行的内容与正则表达式匹配成功的情况下， 发出告警信息。 该 告警接口模块实现了把日志检测模块产生的告警发送到外部告警处理系 统。

优选地， 上述系统还可以包括： 设置检测模块， 用于将待检测日志文 件置为首个日志文件进行检测； 第一处理模块， 用于判断待检测日志文件 是否为空， 在待检测日志文件为空的情况下， 系统在预定的休眠时间之后， 重新读取并检测待检测日志文件。

优选地， 上述实施例中的系统还可以包括： 第二处理模块， 用于将待 检测文件设置为下个日志文件， 并判断本次待检测日志文件是最后一个日 志文件， 在待检测日志文件为最后一个日志文件的情况下， 将待检测曰志 文件的标记设置为空。

图 2是根据本发明实施例的基于日志检测的告警方法的流程图； 以及 图 3是根据本发明实施例的基于日志检测的告警方法的详细流程图。

如图 2所示， 该基于日志检测的告警方法包括如下步驟：

步驟 S102, 通过图 1中的配置模块来读取日志检测的配置数据， 配置 数据包括： 待检测日志文件、 正则表达式以及告警信息。

步驟 S104, 通过图 1中的日志检测模块来执行根据配置数据对日志文 件进行检测， 生成检测结果。

步驟 S106, 通过图 1中的告警接口模块来实现根据检测结果发出告警 信息。

上述实施例实现了系统在启动后首先获取配置信息， 然后检测每个文 件， 对于新增日志行， 将其与设定的每个正则表达式进行匹配， 匹配成功 则应产生相应的已设定的告警。 从而实现统一的多业务告警机制， 达到灵 活简单、 可扩展性强、 适用面广的效果。

上述实施例中的根据配置数据对日志文件进行检测， 以生成检测结果 可以包括： 读取配置数据中的待检测日志文件； 在待检测日志文件不为空 的情况下， 对待检测文件进行检测； 在检测到待检测日志文件存在新增曰 志行的情况下， 将新增日志行的内容与正则表达式进行匹配处理以获取检 测结果。

上述实施例中的步驟： 根据检测结果发出告警信息可以包括： 在检测 结果为新增日志行的内容与正则表达式匹配成功的情况下， 发出告警信息。

优选地， 在读取配置数据中的待检测日志文件之后， 方法还可以包括： 将待检测日志文件置为首个日志文件进行检测； 判断待检测日志文件是否 为空， 在待检测日志文件为空的情况下， 系统在预定的休眠时间之后， 重 新读取并检测待检测日志文件。 优选地， 在根据检测结果发出告警信息之后， 或者在检测到待检测日 志文件不存在新增日志行的情况下， 方法还可以包括： 将待检测文件设置 为下个日志文件， 并判断本次待检测日志文件是最后一个日志文件， 在待 检测日志文件为最后一个日志文件的情况下， 将待检测日志文件的标记设 置为空。

具体的， 基于图 3 所示的基于日志检测的告警系统的详细工作流程。 其步驟如下：

步驟 201 , 系统读取配置数据， 包括待检测日志文件、 正则表达式、 告 警信息。

步驟 202, 系统将反复按次序检测日志文件， 首先设置待检日志文件为 首个日志文件。

步驟 203,判断待检文件是否为 NULL (为 NULL代表本轮所有日志文 件都已检查完毕）。 不为 NULL到 204, 否则转 208。

步驟 204, 对待检文件进行检测。 包括检测时间戳、 读取文件内容等。 步驟 205, 判断待检文件是否有新增日志行。 注： 一个已有多行日志的 文件在第一次被检测时， 当前其所有日志行都是新增的。 有新增行到 206， 否则转 207。

步驟 206,把新增行与每个正则表达式进行匹配，匹配成功则发送告警。 步驟 207, 置待检文件为下个日志文件。 若本次待检文件是最后一个日 志文件， 说明本轮所有文件都已检测一遍， 则置待检文件为 NULL来标记。

步驟 208, 程序休眠一段时间， 转 202继续检测日志文件。 休眠时间根 据业务情况可配置， 比如为 1秒钟。

需要说明的是， 本发明实施例在附图的流程图示出的步驟可以在诸如 一组计算机可执行指令的计算机系统中执行， 并且， 虽然在流程图中示出 了逻辑顺序， 但是在某些情况下， 可以以不同于此处的顺序执行所示出或 描述的步驟。

从以上的实施例描述中， 可以看出， 本发明实施例实现了如下技术效 果： 该方法和系统实现对多个日志文件的检测来产生告警， 以正则表达式 匹配为检测手段， 配置灵活简单， 可扩展性强， 适用面广。 有益效果具有 表现在： 降低部署成本， 一台主机上部署一套本系统， 即可对该主机上的 所有应用进行日志检测和告警； 通用性强， 适用于各类应用系统： 采用正 则表达式， 对于普通日志都是有效的； 而且配置灵活， 对任何业务、 任何 告警都是适用的； 扩展性强， 功能变更方便： 只需修改配置文件就可对检 测的文件、 告警等功能进行增加、 删除和修改。。

显然， 本领域的技术人员应该明白， 上述的本发明实施例的各模块或 各步驟可以用通用的计算装置来实现， 它们可以集中在单个的计算装置上， 或者分布在多个计算装置所组成的网络上， 可选地， 它们可以用计算装置 可执行的程序代码来实现， 从而， 可以将它们存储在存储装置中由计算装 置来执行， 或者将它们分别制作成多个集成电路模块， 或者将它们中的多 个模块或步驟制作成单个集成电路模块来实现。 这样， 本发明实施例不限 制于任何特定的硬件和软件结合。

上述说明示出并描述了本发明的一个优选实施例， 但如前所述， 应当 理解本发明实施例并非局限于本文所披露的形式， 不应看作是对其他实施 例的排除， 而可用于各种其他组合、 修改和环境， 并能够在本文所述发明 构想范围内， 通过上述教导或相关领域的技术或知识进行改动。 而本领域 人员所进行的改动和变化不脱离本发明实施例的精神和范围， 则都应在本 发明实施例所附权利要求的保护范围内。

Claims

1、 一种基于日志检测的告警方法， 其中， 包括：

读取日志检测的配置数据， 所述配置数据包括： 待检测日志文件、 正则表达式以及告警信息；

根据所述配置数据对日志文件进行检测， 生成检测结果；

根据所述检测结果发出告警信息。

2、 根据权利要求 1所述的方法， 其中， 根据所述配置数据对日志文 件进行检测， 以生成检测结果包括：

读取所述配置数据中的待检测日志文件；

在所述待检测日志文件不为空的情况下， 对所述待检测文件进行检 测；

在检测到所述待检测日志文件存在新增日志行的情况下， 将所述新 增日志行的内容与所述正则表达式进行匹配处理以获取检测结果。

3、 根据权利要求 2所述的方法， 其中， 根据所述检测结果发出告警 信息包括：

在检测结果为所述新增日志行的内容与所述正则表达式匹配成功的 情况下， 发出所述告警信息。

4、 根据权利要求 2所述的方法， 其中， 在读取所述配置数据中的待 检测日志文件之后， 所述方法还包括：

将所述待检测日志文件置为首个日志文件进行检测；

判断所述待检测日志文件是否为空， 在所述待检测日志文件为空的 情况下， 系统在预定的休眠时间之后， 重新读取并检测所述待检测日志 文件。

5、 根据权利要求 4所述的方法， 其中， 在根据所述检测结果发出告 警信息之后， 或者在检测到所述待检测日志文件不存在新增日志行的情 况下， 所述方法还包括：

将所述待检测文件设置为下个日志文件， 并判断本次待检测日志文 件是最后一个日志文件， 在所述待检测日志文件为最后一个日志文件的 情况下， 将所述待检测日志文件的标记设置为空。

6、 一种基于日志检测的告警系统， 其中， 包括：

配置模块， 设置为读取日志检测的配置数据， 所述配置数据包括： 待检测日志文件、 正则表达式以及告警信息；

日志检测模块， 设置为根据所述配置数据对日志文件进行检测， 生 成检测结果；

告警接口模块 , 设置为根据所述检测结果发出告警信息。

7、 根据权利要求 6所述的系统， 其中， 所述日志检测模块包括： 读取模块， 设置为读取所述配置数据中的待检测日志文件； 检测模块， 设置为在所述待检测日志文件不为空的情况下， 对所述 待检测文件进行检测；

匹配模块， 设置为在检测到所述待检测日志文件存在新增日志行的 情况下， 将所述新增日志行的内容与所述正则表达式进行匹配处理以获 取检测结果。

8、 根据权利要求 7所述的系统， 其中， 所述告警接口模块包括： 告警模块， 设置为在检测结果为所述新增日志行的内容与所述正则 表达式匹配成功的情况下， 发出所述告警信息。

9、 根据权利要求 7所述的系统， 其中， 所述系统还包括： 设置检测模块， 设置为将所述待检测日志文件置为首个日志文件进 行检测；

第一处理模块， 设置为判断所述待检测日志文件是否为空， 在所述 待检测日志文件为空的情况下， 系统在预定的休眠时间之后， 重新读取 并检测所述待检测日志文件。

10、 根据权利要求 9所述的系统， 其中， 所述系统还包括： 第二处理模块， 设置为将所述待检测文件设置为下个日志文件， 并 判断本次待检测日志文件是最后一个日志文件， 在所述待检测日志文件 为最后一个日志文件的情况下， 将所述待检测日志文件的标记设置为空。